Первыми внимание на объявление в даркнете о продаже базы данных якобы одного из крупнейших российских брокеров обратили в компании DLBI, которая специализируется на разведке утечек данных. «Известия» связались с продавцом: по его словам, в наличии есть база из 51 тыс. телефонов клиентов БКС. По этим номерам клиенты входят в свой личный кабинет на сайте «БКС Мир Инвестиций» и торгуют на бирже, выводят деньги, смотрят отчеты, уточнил продавец. По его словам, преимущественно номера принадлежат жителям Москвы. Паролей в базе нет.
«Из минусов то что ФИО и прочего нет. Из плюсов то что вероятно не зазвонена», — написал продавец (пунктуация сохранена).
По его словам, базу планируется продать в одни руки по цене 15 рублей за номер. Можно купить ее и за два эфира (в эквиваленте порядка 650 тыс. рублей). Продавец подчеркнул, что «сбрутил» базу (получил методом перебора. — «Известия»). Он предоставил «Известиям» три номера телефона в качестве «пробников». Дозвониться удалось по двум из них. Один собеседник сообщил, что действительно пользуется «БКС Мир Инвестиций». Другой отказался разглашать информацию о том, обслуживается ли он у этого брокера.
При вводе соответствующих номеров в качестве логина на сайте «БКС Мир Инвестиций» и при нажатии клавиши «Забыли логин или пароль», система сразу предложила ввести новый пароль. Корреспондент «Известий» по этическим соображениям воздержался от этого. Если же вводить номера граждан, которые заведомо не обслуживаются у брокера, система через несколько шагов выдает сообщение, что восстановление пароля невозможно и необходимо обратиться в службу поддержки.
В финансовой группе БКС «Известиям» сообщили, что сотрудники информационной безопасности провели тщательный анализ: никаких утечек клиентских данных из компании не было. Там подчеркнули, что предпринимают все возможные меры по защите сведений клиентов. Продаваемые на рынке базы не имеют никакого отношения к БКС, заявили в финансовой организации. По данным компании на первое полугодие 2021-го, в «БКС Мир Инвестиций» обслуживалось более 800 тыс. человек.
Обезличенные сведения с номерами телефонов не могут быть отнесены к персональным данным, заявили «Известиям» в Роскомнадзоре. В службе подчеркнули, что в этом случае речь не идет об утечке базы персональных данных клиентов компании.
— Относительно передачи сведений о себе Роскомнадзор напоминает, что при предоставлении через интернет любой личной информации, в том числе при регистрации на различных сервисах и заполнении анкетных данных учетной записи, всегда существует риск утечки персональных данных. Вероятность такой утечки зависит в первую очередь от того, насколько ответственно оператор выполняет свои обязанности, установленные законодательством о персональных данных, в том числе по обеспечению их безопасности, — добавили в Роскомнадзоре.
В службе напомнили, что граждане, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации как в досудебном, так и в судебном порядке.
Как говорит продавец, база была получена так называемым брутфорсом, то есть перебором параметров при доступе к API или веб-интерфейсу, пояснил «Известиям» основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян. По его словам, если это действительно номера клиентов БКС, то сам факт такой возможности и того, что в процессе перебиравший не был заблокирован, говорит об очень легкомысленном отношении брокера к информационной безопасности.
— Сама по себе база из одних телефонов годится для SMS-спама и, возможно, фишинга, связанного с получением налоговых вычетов. После ее обогащения именами и паспортными данными такую базу можно использовать для мошеннических звонков, направленных на получение пароля от личного кабинета у брокера или платежных данных, однако без внутренних подробностей эффективность такого прозвона вряд ли будет велика, — разъяснил Ашот Оганесян.
Он добавил, что почти $9 тыс. за базу в 50 тыс. записей просто телефонных номеров — цена явно завышенная, поэтому вряд ли её удастся продать на этих условиях.
База объемом 51 тыс. аккаунтов достается автоматизированно, согласен директор департамента анализа защищенности Digital Security Глеб Чербов. Он пояснил, что обычно это делается либо за счет формы авторизации, либо функциональности восстановления пароля. На вход подается логин (в данном случае, номер телефона), а в ответ система явно или косвенно дает понять, есть ли такой пользователь в системе. Далее перебираются все возможные номера, добавил эксперт.
Одних телефонов клиентов недостаточно для того, чтобы зайти в их личный кабинет и вывести деньги, подчеркнул руководитель аналитического центра Zecurion Владимир Ульянов. При этом, по его словам, мошенники могут использовать стандартные методы социальной инженерии. Один из вариантов — представляться сотрудниками финансовой организации и от ее имени требовать дополнительную информацию, в том числе — пароли.
— Кроме того, эта база может быть интересна конкурентам: другим брокерам, которые хотели бы расширить свою аудиторию. В теории, они могут обзванивать людей и предлагать свои услуги. Сейчас высокий уровень интереса к брокерам, потому что банковские ставки не высоки, и люди пробуют инвестиции. Есть спрос на обучение торговле на бирже, на сами брокерские услуги, — отметил Владимир Ульянов.
В ЦБ оперативно не ответили на запрос «Известий» о том, знают ли они о продаже данных клиентов БКС.
Наталья Ильина